NAT 概述 在我目前的經驗中，設定 NAT 的需求不外乎有兩種：(1) Internet IP + Port 重新導向到 Internal IP + Port  (2) Internal IP 完全使用一個 Internet IP，當然要完全使用多個 IP 也ok。各位看倌們應該有發現我沒有使用專有名詞來介紹 NAT 的需求，而是使用白話的方式來描述，主要原因是每一家硬體廠商對於同一種 NAT 的功能的名詞實在是太多了。以 「Internet IP + Port 重新導向到 Internal IP + Port」 來說，就有以下 4 種描述方法：(1) NAT (2) Port Forwarding (3) Port redirection (4) Virtual IP 。所以作者我還是決定用比較口語的方式來描述該功能。 通常設定 NAT 時，以 Port 的重新導向居多；但這次和大家分享的是「一個 Internal IP 完全使用一個 Internet IP」。 設定MIP (Mapped IP) 1、設定 Internet 網路介面 (ethernet0/0)        Network > Interfaces > List > Edit ethernet0/0                     點選 MIP，並新增一個 Mapped IP 與 Host IP (Virtual Router 建議使用 untrust-vr)                                   看到 Configure 的狀態是 In use 的話，就代表可以使用該 MIP 了。                2、設定規則        Policy > Polices                     將領域調整為 from untrust to trust，並新增一條規則                       設定一條規則                             由於我的設定是讓防火牆規則是 Any to Any ，這代表只要 Host 服務有開且本機防火牆沒有封鎖，即可使用有在 listening 的服務。以我的測試來說，我的 Windows Server 2012 R2 有開啟「遠端桌面連線」，所以當在遠端桌面連線軟體上我輸入 Internet IP (192.168.2.54)時，Juniper SSG 5 就會將此連線重新導向到 Internal IP (192.168.1.33)。 另外尚有一點需要注意，假設我們要移除已建立好的 MIP 時，必須要先移除防火牆的規則設定，否則就無法直接在 ethernet0/0 中移除 MIP 。   相關連結 [ScreenOS] MIP - Definition, configuration of MIP to an IP or a subnet, and troubleshooting tips Juniper SSG 5 - Get Started Guide

最近公司買了一台 Vigor 3200 ，以下是我的測試筆記。 一、基本測試 1、改 IP 、 新增 WAN 都需要重新啟動，重新啟動時所有服務將會中斷 2、重開後，已連接上 VPN 的 client  看似沒有中斷，但過了大約 1 分鐘後， client 所建立的 VPN 會要求重新連接 二、NAT 測試 1、測試 mstsc 時，還是顯示 vigor 3200 的 IP ，非顯示真正被導向的伺服器的 IP (這應該是本來就如此，純粹記錄而已 XD……) 三、WAN 測試 1、預設無法透過 WAN port 進行遠端管理 2、WAN 可以嵌入 VLAN tag 3、WAN 1-4 可開啟 or 關閉 4、可選擇 WAN Port 是否允許 ping 指令 四、LAN 測試 1、LAN 2 、 3 、4  必須在啟用 VLAN 的情況下方可使用   五、VPN 測試 1、可指定 VPN client 端的 IP 位址，以限制連線 VPN 的來源 2、預設有 5 個 LAN 可供使用 ( 4 個 LAN + 1 個 DMZ)，所以 VPN 撥接成功後，可從 5 個 LAN 中挑選一個讓 client 端加入。預設是 VPN 登入是給予 LAN1 的 subnet  的 IP ，如果要給予其它 LAN 的 subnet 的 IP 時，要確定「VLAN 有開」、「該 LAN 有啟動」 3、連入時可選擇 VPN tunnel 的 protocol ，舉例：PPTP / L2TP …… 4、也可使用 Site-to-Site VPN，也就是 2 台 Vigor 3200 可建立一條 VPN 通道，讓 2 邊的 LAN 可以互相溝通 5、SSL VPN 和 VPN 是用同一個使用者帳戶資料庫 6、SSL VPN 有綁定 443 port ， 要注意 六、系統設定 1、預設 http 、 https 都會使用，也就是說，如果要使用 NAT 重新導向 Port 號時，必須先將這 2 個 Port 號設定改掉。   最後，這個裝置 C/P 值是頗高的，我們公司大約有 30 台，使用這台機器時，上述的基本服務運作都是穩定的。